Kai Ole Hartwig — Blog

Kai Ole Hartwig

DevSecOps-Beratung, Schulungen und Softwareentwicklung. Freiberuflich, mit 23+ Jahren Erfahrung.
 

Düsseldorf 

Leistungen

Drei Dinge, die ich gut kann — und seit über 23 Jahren mache.

01 — Beratung

DevSecOps-Beratung

  • CI/CD-Pipelines und Supply Chain absichern
  • Container- und Kubernetes-Security
  • Audits und Incident-Nachbereitung
DevSecOps-Beratung
02 — Schulungen

Schulungen

  • Workshops hands-on am echten Stack deines Teams
  • CI/CD, Supply Chain, Container-Security
  • Sicherer Umgang mit KI-Werkzeugen im Entwicklungsalltag
Schulungen
03 — Entwicklung

Softwareentwicklung

  • PHP-Ökosystem: TYPO3 und Symfony
  • Cloud-native Architekturen auf Kubernetes und AWS
  • Code, den dein Team ohne mich weiterentwickeln kann
Softwareentwicklung
Sylius, Symfony, PHP, E-Commerce, GHSA-5597-7rmh-97q5, GHSA-mr9r-h354-966r, GHSA-6955-hrm5-c4qp, LiveComponent, IDOR, Broken Access Control, Payment Request, API Platform, CWE-639, CWE-863, NIS-2, DSGVO, Mittelstand

Sylius Security-Release (2.0.18/2.1.15/2.2.6)

Vorfall-Analyse (Sammelpost) zum Sylius-Security-Release vom 02.06.2026. Drei Advisories im Shop-/Payment-API-Pfad: GHSA-5597-7rmh-97q5 (Cart-FormComponent löscht/ändert abgeschlossene Order, CVSS 6.5, CWE-672/841), GHSA-mr9r-h354-966r (IDOR auf Shop-Payment-Request-Endpoints, CWE-639) und GHSA-6955-hrm5-c4qp (Channel-basierter Zahlart-Bypass, CVSS 4.3, CWE-863). Betroffen: 2.0.0–2.0.17, 2.1.0–2.1.14, 2.2.0–2.2.5. Behoben in 2.0.18 / 2.1.15 / 2.2.6. Keine CVE-IDs, alle Moderate, keine bekannte aktive Ausnutzung. Fix per composer update; je Lücke ein dokumentierter Workaround per Service-Override.

VSCode, Webview, github.dev, GitHub, Token Stealing, Supply Chain, OAuth, Full Disclosure, Jupyter, Extension, Plattformbetrieb, DevSecOps

VSCode-Webview-Escape (github.dev Token Stealing)

Ein Klick auf einen präparierten github.dev-Link reicht, um den GitHub-OAuth-Token mit Vollzugriff auf alle Repos zu stehlen. Kein Patch verfügbar. Analyse der Exploit-Kette (Jupyter-Notebook-XSS + Webview-Keydown-Forwarding + Extension-Installation), Sofortmaßnahmen und Betreiberempfehlung. Ammar Askar, Full Disclosure 02.06.2026.

NVIDIA OpenShell, GitHub Copilot, Microsoft Build 2026, Agent-Containment, Sandbox, Credential-Isolation, Policy-as-Code, Least-Privilege, Apache 2.0, Foundry Local, Azure Local, On-Device-Agenten, Souveränität, DSGVO, KI-Agenten, DevSecOps, MCP

OpenShell Agent-Containment (Build 2026)

Tagesbriefing zur OpenShell-Integration in GitHub Copilot (Microsoft Build 2026, 2. Juni): Agenten bekommen ein eigenes Containment- und Ausführungs-Substrat — Sandbox-Container, Policy-as-Code, Credential-Isolation. Trennung von Fähigkeit und Berechtigung, offen lizenziert, modellagnostisch — für den Mittelstand zuerst eine Datenschutz- und Souveränitätsfrage.

FrankenPHP, FrankenPHP 1.12.4, Caddy 2.11.4, Mercure 0.24.2, Header-Spoofing, Underscore-Header, CGI, X-Forwarded-For, GHSA-vcc4-2c75-vc9v, CWE-93, SSE, Worker-Mode, Data-Race, PHP App Server, Symfony, Docker, DevSecOps, Supply Chain

FrankenPHP 1.12.4 (Underscore-Header / Caddy 2.11.4)

Hardening-Release FrankenPHP 1.12.4: Underscore-Header-Spoofing am Server geschlossen, gebündelte Caddy-2.11.4- und Mercure-0.24.2-Security-Patches, dazu Worker-Mode-Crash- und Data-Race-Fixes. Kein aktiver 0-Day, aber „jeder sollte updaten“ — mit Mitigation, Detection und Betreiberempfehlung.

npm, binding.gyp, node-gyp, Supply Chain, Worm, Credential Harvesting, CI/CD, GitHub Actions, Bun, AES-128-GCM, dangling commit, autotel, awaitly, node-env-resolver, StepSecurity, ignore-scripts, DevSecOps

binding.gyp npm-Worm (node-gyp)

Laufender npm-Lieferketten-Vorfall: ein selbst-replizierender Worm nutzt binding.gyp/node-gyp statt postinstall, laedt die Bun-Runtime, erntet Cloud-/Registry-Credentials, injiziert setup-bun in GitHub-Actions-Workflows und vergiftet weitere Pakete des Opfers. Mit Mitigation, Detection-IOCs und Betreiberempfehlung — Paketliste an die Primaerquelle delegiert.

Über mich

23+ Jahre Erfahrung in Web-Entwicklung, DevOps und Security. Freiberuflicher DevSecOps-Berater, Trainer und Softwareentwickler. Dazu OnlyOle – exklusives DevSecOps-Consulting für Teams, die die richtigen Entscheidungen treffen wollen, bevor es teuer wird.

Ich lebe in Düsseldorf, bin Vater von zwei Kindern und beschäftige mich mit Web-Technologien, Cloud-Infrastruktur, Security und Open Source.

Eins meiner Kinder lebt mit einer seltenen Erkrankung – hier schreibe ich manchmal auch über den Alltag als pflegender Elternteil, neben Themen wie AWS, TYPO3, Container-Hosting und DevSecOps.

DevSecOpsWeb-EntwicklungAWSTYPO3SecurityOpen SourcePflege & Familie
Termin

Klingt passend?
Dann schreib mir.

Kein Formular-Marathon, keine Sales-Kette. Eine kurze Nachricht genügt — ich melde mich persönlich und sage dir ehrlich, ob ich helfen kann.

Termin buchen